Citrix Analytics for Security

持续的风险评估

随着便携式计算设备和互联网的使用增加,Citrix Workspace 用户几乎可以在任何位置和任何设备上工作。这种灵活性带来的挑战在于,远程访问会通过数据泄露、盗窃、故意破坏和服务中断等网络犯罪活动使敏感数据面临安全风险。组织内的员工也可能为这种损害做出贡献。

解决此类风险的一些传统方法是实施多因素身份验证、短登录会话等。尽管这些风险评估方法可确保更高级别的安全性,但在对用户进行初步验证后,它们并不能提供完全的安全性如果恶意用户成功获得网络访问权限,他们就会滥用对组织有害的敏感数据。

为了增强安全性并确保更好的用户体验,Citrix Analytics 推出了持续风险评估解决方案。此解决方案可确保使用 Citrix Virtual Apps and Desktops 或 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)的用户所面临的风险与在初始阶段验证时相同,从而保护您的数据免受外部网络犯罪分子和恶意内部人员的侵害,而无需要求用户每次都证明这一点。此解决方案是通过在会话期间持续评估风险事件以及自动应用措施以防止组织的资源进一步滥用来实现的。

持续的风险评估

用例

假设一个用户 Adam Maxwell,在从一个不寻常的位置进行多次登录尝试失败后,他首次能够访问网络,这与他们的常规行为相反。此外,该地点还有网络攻击的记录。在这种情况下,你需要立即采取行动,避免 Adam 的帐户被进一步滥用。你可以锁定 Adam 的帐户并通知他所采取的行动。此操作可能会暂时对用户的帐户造成服务中断。用户可以联系管理员以获取恢复帐户的帮助。

考虑另一种情况,即 Adam 首次从新设备和新 IP 访问网络。您可以联系 Adam,询问他是否识别出此活动。如果是这样,可能是因为 Adam 更换了工作设备并且正在使用家庭网络工作。此活动不会对组织的安全造成任何损害,可以忽略。但是,如果用户没有执行此活动,则该帐户可能已被盗用。在这种情况下,您可以锁定用户的帐户以防止任何进一步的损害。

主要功能

持续风险评估可自动执行与策略和可见性控制板相关的一些功能:

支持多种条件

创建或修改策略时,最多可以添加四个条件。这些条件可以包含默认风险指示器和/或自定义风险指标、用户风险评分的组合。

有关更多信息,请参阅 什么是策略

在应用操作之前通知用户

在对用户的帐户应用适当的操作之前,您可以通知用户并评估已检测到的异常活动的性质。

有关详细信息,请参阅请求最终用户响应

应用操作后通知用户

对于某些活动,在应用操作之前等待用户响应可能会使用户的帐户和组织的安全受到威胁。在这种情况下,您可以在检测到异常活动时应用破坏性操作,然后通知用户相同的情况。

有关详细信息, 请参阅应用中断性操作后通知用户

强制和监控模式

您可以根据自己的要求将策略设置为强制或监控模式。处于强制模式的策略对用户的帐户有直接影响。但是,如果要在实施策略之前评估策略的影响或结果,则可以将策略设置为监控模式。

有关详细信息,请参阅 支持的模式

访问权限和策略控制板的可见性

使用“访问摘要”控制板,您可以深入了解用户尝试访问的次数。有关更多信息,请参阅 访问摘要

使用“政 策和操作”控制板,您可以深入了解应用于用户帐户的策略和操作。有关更多信息,请参阅 策略和操作

默认策略

Citrix Analytics 引入了默认情况下在“策略”控制板上启用的预定义 策略 。这些策略是通过使用风险指标和用户风险评分作为预定义的条件来创建的。每个默认策略都会分配一个全局操作。

有关更多信息,请参阅 什么是策略

您可以使用以下默认策略或根据需要修改它们:

策略名称 条件 数据源 操作
成功利用凭证 触发 身份验证失败过多可疑登录 风险指示器时 Citrix Gateway 锁定用户
潜在的数据泄露 触发 潜在数据泄露 风险指示器时 Citrix Virtual Apps and Desktops 和 Citrix DaaS 注销用户
来自可疑 IP 的异常访问 触发“可疑登录”和“从可疑 IP 登录”风险指示器时 Citrix Gateway 锁定用户
低风险用户-首次从新 IP 访问 当风险评分低于 70 的用户触发 网关-首次从新 IP 风险指示器访 问时 Citrix Gateway 请求最终用户响应
首次从设备访问 CVAD-首次从新设备访问时 风险指示器被触发 Citrix Virtual Apps and Desktops 和 Citrix DaaS 请求最终用户响应
来自不寻常位置的不寻常的应用 触发 应用程序访问异常时间(虚拟/SaaS)可疑登录 风险指示器时 Citrix Virtual Apps and Desktops 和 Citrix DaaS,Citrix Gateway 锁定用户

注意

对于 从异常位置进行异常应用程序访问 策略,无法满足 异常应用程序访问时间 (Virtual/SaaS) 条件,因为此风险指示器已弃用。如果您想继续实施此策略,请使用其他风险指示器修改此条件。

持续的风险评估

在本文中